Zhen

Zhen Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: zhang.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32612
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Generik.FVCECGD
Malwarebytes -> Ransom.Zhen
Rising -> Dropper.Dapato!8.2A2 (CLOUD)
Symantec -> Trojan.Seaduke

Tencent -> Win32.Trojan-dropper.Dapato.Wtxh
TrendMicro -> TROJ_GEN.R002H09II20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Zhen

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .zhen
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2020 г. Штамп даты: 16 сентября 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: read.ini

Содержание записки о выкупе:

What Happened to My Computer?

Your important files are encrypted.

Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are 

busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.

Can I Recover My Files?

Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.

If you want to decrypt all your files, you need to pay.

How Do I Pay?

Payment is accepted in Bitcoin only. For more information, click <About bitcoin>.

Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.

And send the correct amount to the address specified in this window.

After your payment, click <Check Payment>.

Once the payment is checked, you can start decrypting your files immediately.

We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If 

your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!

1. To pay us, you have to use Bitcoin currency. You can easily buy Bitcoins at following sites: 

https://cex.io/ 

https://www.binance.com/ 

https://www.coinbase.com/ 

2. After then, if you already have Bitcoins, pay us 0.3 BTC on following our Bitcoin address.

3. Then, press the "Check Payment" button. We will automatically decrypt your files, after bitcoin transfer.

Send 0.3 BTC to; 

14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc

Перевод записки на русский язык:

Что случилось с моим компьютером?

Ваши важные файлы зашифрованы.

Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, т.к. они зашифрованы. Может быть вы

ищете способ восстановить ваши файлы, но не тратьте время зря. Никто не сможет восстановить ваши файлы без нашей дешифрования.

Могу ли я восстановить свои файлы?

Конечно. Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы. Но у вас мало времени.

Если вы хотите расшифровать все свои файлы, вам нужно заплатить.

Как мне платить?

Оплата принимается только в биткойнах. Для получения дополнительной информации нажмите <О биткойнах>.

Пожалуйста, проверьте текущую цену биткойнов и купите биткойны. Для получения дополнительной информации нажмите <Как купить биткойны>.

И отправьте правильную сумму на адрес, указанный в этом окне.

После оплаты нажмите <Проверить платеж>.

Как только платеж будет проверен, вы можете сразу же приступить к расшифровке файлов.

Мы настоятельно рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, он не сможет восстановить ваши файлы, даже если вы заплатите!

1. Чтобы заплатить нам, вы должны использовать биткойн. Вы можете легко купить биткойны на следующих сайтах:

https://cex.io/

https://www.binance.com/

https://www.coinbase.com/

2. После этого, если у вас уже есть биткойны, заплатите нам 0,3 BTC за отслеживание нашего биткойн-адреса.

3. Затем нажмите кнопку «Проверить платеж». Мы автоматически расшифруем ваши файлы после передачи биткойнов.

Отправьте 0,3 BTC на;

14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. 

Содержание текста на изображении:

!! ATTENTION !!

YOUR FILES HAVE BEEN ENCRYPTED!

All of your documents, photos, databases and other important files have been encrypted with RSA encryption.

You will not be able to recover your files without the private key which has been saved on our server.

An antivirus can not recover your files.

View the file "Decryption Notes" on your Desktop to fix this.

Send 0.3 BTC To: 14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ По данным анализа содержит бэкдор и инфостилер. 

Завершает некоторые процессы, удаляет антивирусные обновления Windows Defender с помощью запуска утилиты 'mpcmdrun.exe' из командной строки. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ioxyfx.dat - загружаемый вредоносный файл

read.ini - название файла с требованием выкупа

Read For Decryption - ярлык для открытия записки read.ini

  

zhang.exe - название вредоносного файла

x64.exe - созданный файл для Windows x64

output.174193977.txt

1.bmp

img0.jpg

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\ProgramData\ioxyfx.dat.exe

C:\ProgramData\x64.exe

C:\Windows\Web\Wallpaper\Windows\img0.jpg

Записи реестра, связанные с этим Ransomware:

Множественные настройки для установки изображения с текстом. 

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: https://a.pomf.cat/ioxyfx.dat

Email: - 
BTC: 14Fb82z4s345Ur6xSBHWZ7jidxXiQUDvAc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
➤ Triage analysis >>  TG> TG with 5 min timeout>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Zhen)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.